[Linuxtrent] conntrackd e configurazione (lunghetta)
- From: Mario Vittorio Guenzi <jclark@xxxxxxxxxx>
- To: linuxtrent <linuxtrent@xxxxxxxxxxxxx>
- Date: Wed, 15 Nov 2006 11:24:43 +0100
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Buongiorno a tutti,
sto preparando un cluster di firewall per poter avere alta affidabilita'
se cade il principale o se cade la linea principale.
lo scenario e' il seguente macchina sangiorgio firewall principale
collegato (prossimamente) a una hdsl 8 Mb di fastweb
eth0 pubblica eth1 privata
macchina perseo firewall secondario collegata (prossimamente) a una
adsl telvia eth0 pubblica eth1 privata
la parte di cluster l'ho fatta con ucarp e ho creato su ambedue le
macchine la eth1:0 con indirizzo 192.168.2.241 che e' l'indirizzo
gateway, cosi funziona ma ovviamente se cade sangiorgio tutte le
connessioni che ho in essere al momento cadono.
Ho trovato googlando conntrackd
http://people.netfilter.org/pablo/conntrackd/ che si trova gia
pacchettizato per debian qui
deb http://debian.rfc2324.org/debian sarge conntrackd
deb-src http://debian.rfc2324.org/debian sarge conntrackd
Leggendo la parte di install sul sito ho visto che esistono degli esempi
in /usr/share/doc/conntrackd/examples e il piu' calzante al mio caso e'
quello sync http://people.netfilter.org/pablo/conntrackd/install.html
anche se lui virtualizza 2 indirizzi quindi basta commentare la parte
relativa al secondo indirizzo.
Quello che invece non ho capito e' nel file di configurazione di
conntrackd la parte chiamata IP of dedicated link cos'e? a cosa serve?
come funziona?
In sostanza io ho bisogno di replicare l'indirizzo 192.168.2.241
Di seguito copio il file conntracd.conf relativa al nodo 1 (Master)
Qualcuno puo' spiegarmi per cortesia?
Grazie in anticipo e cordialita'.
#
# Synchronizer settings
#
Sync {
#
# If a conntrack entry is not modified in <= 15 seconds, then
# a message is broadcasted. This mechanism is used to
# resynchronize nodes that just joined the multicast group
#
RefreshTime 15
#
# Multicast IP and interface where messages are
# broadcasted (dedicated link). IMPORTANT: Make sure
# that iptables accepts traffic for destination
# 225.0.0.50, eg:
#
# iptables -I INPUT -d 225.0.0.50 -j ACCEPT
# iptables -I OUTPUT -d 225.0.0.50 -j ACCEPT
#
Multicast {
IPv4_address 225.0.0.50
IPv4_interface 192.168.100.100 # IP of dedicated link
Group 3780
Backlog 20
}
}
#
# General settings
#
General {
#
# Number of buckets in the caches: hash table
#
HashSize 8192
#
# Maximum number of conntracks:
# it must be >= $ cat /proc/sys/net/ipv4/netfilter/ip_conntrack_max
#
HashLimit 65535
#
# Logfile
#
LogFile /var/log/conntrackd.log
#
# Lockfile
#
LockFile /var/lock/conntrack.lock
#
# Unix socket configuration
#
UNIX {
Path /tmp/sync.sock
Backlog 20
}
#
# Netlink socket buffer size
#
SocketBufferSize 262142
#
# Increase the socket buffer up to maximum if required
#
SocketBufferSizeMaxGrown 655355
}
#
# Ignore traffic for a certain set of IP's: Usually
# all the IP assigned to the firewall since local
# traffic must be ignored, just forwarded connections
# are worth to replicate
#
IgnoreTrafficFor {
IPv4_address 127.0.0.1 # loopback
IPv4_address 192.168.0.1
IPv4_address 192.168.1.1
IPv4_address 192.168.100.100 # dedicated link ip
IPv4_address 192.168.0.100 # virtual IP 1
IPv4_address 192.168.1.100 # virtual IP 2
}
#
# Do not replicate certain protocol traffic
#
IgnoreProtocol {
UDP
ICMP
IGMP
VRRP
# numeric numbers also valid
}
#
# Strip NAT traffic
#
StripNAT
- --
Mario Vittorio Guenzi
E-mail jclark@xxxxxxxxxx
Si vis pacem, para bellum
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)
iD8DBQFFWurrm6qs1ZkNrIoRAgo2AJ9wDDwBi7UAkQBX4ve5VbiB4tYZCgCggU3c
0tfuNf6slHZJSV4L2jMdAQs=
=Mg/E
-----END PGP SIGNATURE-----
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts:
